Security NEXTでは、最新の情報セキュリティに関するニュースを日刊でお届けしています。

「Apache Hive」にユーザー定義関数を上書きされる脆弱性

「Apache Hive」の「ユーザー定義関数(UDF)」の機能に脆弱性が含まれていることが明らかとなった。4月にリリースされた「同3.1.3」にて修正済みだという。

「同3.1.2」および以前のバージョンでは、「CREATE」および「DROP」関数の操作において権限チェックの不備「CVE-2021-34538」が存在するもので、開発チームが7月16日に明らかにした。

脆弱性を悪用することで、認証や権限を持たないユーザーによって既存のユーザー定義関数を削除したり、あらたにjarファイルを指定するユーザー定義関数を再作成することが可能だという。

開発チームでは、脆弱性の重要度を「とても重要(Very Important)」とレーティング。米国立標準技術研究所(NIST)の脆弱性データベース「NVD」では、共通脆弱性評価システム「CVSSv3.1」のベーススコアを「7.5」と評価している。

CVE番号は2021年6月に採番されており、開発チームによれば、現地時間2022年4月8日にリリースした「同3.1.3」で修正済みだとしている。「同4.0」のベータ版でも対応しており、GA版においても修正が反映される見込み。

(Security NEXT - 2022/07/28 ) このエントリーをはてなブックマークに追加

関連リンク

PR

関連記事

イベント案内メールを「CC」により誤送信 - 広島県の建設会社
「Node.js」にセキュリティアップデート - 複数脆弱性を修正
一部マイナンバーカードを紛失、フォルダごと誤廃棄か - 鹿児島市
戸籍謄本などパスポート発給申請書類を紛失 - パスポートセンター久留米支所
個人情報含む診療報酬の返還に関わる書類を紛失 - 新潟県
IvantiのVPN製品脆弱性、限定的な攻撃から多様な攻撃へと発展
ランサム被害で個人情報流出の可能性 - ダイヤモンド社
米当局、「Cisco ASA」など悪用が確認された脆弱性4件について注意喚起
「AI」の安全性に対する評価手法を検討する機関を設立 - IPA
Windowsのゼロデイ脆弱性「CVE-2024-21412」、昨年12月下旬より悪用